Аудит информационных технологий проводится с целью удостовериться, получены ли ожидаемые выгоды от инфраструктуры и процессов. Эти преимущества могут быть перечислены следующим образом:
- В какой степени инфраструктура и процессы способны удовлетворить потребности бизнеса? (Эффективность)
- Насколько эффективны используемые ресурсы? (КПД)
- В какой степени обеспечивается защита конфиденциальности, целостности и непрерывности информационных активов? (Безопасность)
- Наконец, сколько правовых норм соблюдается по этим вопросам?
Аудит информационных технологий, который будет проводиться, является отдельной областью знаний. Однако он не должен быть полностью отделен от общих принципов и критериев аудита; В этом отношении аудит безопасности ИТ также требует основанного на риске и объективного процесса аудита, основанного на доказательствах.
Организационный, технологический и технический контроль составляют основу аудитов информационных технологий. Кроме того, нельзя игнорировать физические средства управления, которые поддерживают защиту инфраструктуры информационных технологий от пробелов в безопасности.
В дополнение к этим общим принципам можно проводить специальные проверки безопасности в зависимости от сферы деятельности и условий эксплуатации предприятий. В этих проверках можно использовать много разных методов. Тем не менее, каждый метод имеет разные критерии воздействия сам по себе. Некоторые критические контролируемые области могут иметь разные характеристики в зависимости от деятельности Крума. Некоторые области также могут приобретать значение в определенные периоды в зависимости от дифференциации бизнес-целей. Важно понять эти приоритеты и расставить приоритеты этих различий в планировании аудита.
Различные аудиты и приложения могут применяться в аудитах информационных технологий. Так, например,
· COBIT (Цели управления информационной и смежной технологией)
· TS ISO / IEC 27001 Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования
· TS ISO / IEC 27002 Информационные технологии. Методы защиты. Принципы применения средств управления информационной безопасностью
· ПРИНЦ (Проекты в контролируемой среде)
· CMMI (интеграция модели зрелости возможностей, интеграция модели зрелости емкости)
· ITIL (библиотека инфраструктуры информационных технологий)
наша организация в рамках аудиторских услуг. В этих исследованиях действует в соответствии с действующим законодательством, стандартами, опубликованными отечественными и зарубежными организациями, и общепринятыми методами аудита.